公開日: 2023/11/14  最終更新日: 2023/11/14

シンキングリード株式会社からの情報

脆弱性識別番号:JVN#67822421
脆弱性タイトル:OSS Calendar における SQL インジェクションの脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

OSS Calendar に脆弱性が発見されました。

【対象アプリケーション】
Version 2.0.3 より前にリリースされた OSS Calendar.

【概要】
 OSS Calendar にログインしたユーザーによる SQL インジェクション攻撃が可能となります。

【影響】
 攻撃者は、脆弱な OSS Calendar にログインする事で、以下の事象を引き起こすことが可能です。
  ・サーバ内の情報窃取
  ・サーバ内の情報改ざん
  ・サーバ上のファイルを書き換えることによるシステム破壊

 以下、CVSS v3を基準とした影響度です。

 ・深刻度 重要
  CVSS v3 基本値:8.8  CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

【回避方法】
 OSS Calendar にログインした状態でのみ本脆弱性は悪用可能となります。
 以下の対策を講じることで、攻撃者のログインを阻止し、脆弱性の影響を
 回避することが期待できます
  ・対象システムに対するアクセスを信頼できる接続元のみに制限
  ・不要なアカウントの削除
  ・容易に推測可能なパスワードを利用している場合、より複雑なパスワードへの変更

【対策方法】
 OSS Calendar Version 2.0.3 へのバージョンアップを実施してください。
 バージョンアップの方法については GitHub の README.md をご確認ください。

 なお、シンキングリードのサポート契約を締結されているお客様に対しましては修正の適用が完了しておりますのでご安心いただければと存じます。